Impatto Sistemico

Critico (79.23)

Sintesi

Rilevato lo sfruttamento attivo della CVE-2026-33439 , con gravità “critica”, che interessa OpenAM, piattaforma open‑source di Identity & Access Management (IAM) mantenuta dalla Open Identity Platform Community.

Tipologia

Remote Code Execution

Descrizione e potenziali impatti

È stato recentemente rilevato lo sfruttamento attivo della CVE-2026-33439 , con gravità “critica”, che interessa OpenAM, piattaforma open‑source di Identity & Access Management (IAM) mantenuta dalla Open Identity Platform Community.

Nel dettaglio la vulnerabilità, di tipo “Pre-Authentication Remote Code Execution” e con score CVSS v4.0 pari a 9.3, è dovuta ad una deserializzazione Java non sicura del parametro HTTP jato.clientSession . Tale vulnerabilità rappresenta un bypass della CVE-2021-35464 che era stata solo parzialmente mitigata. Un attaccante remoto non autenticato, tramite l’invio di richieste HTTP opportunamente predisposte verso un endpoint JATO ViewBean la cui pagina JSP utilizzi il tag <jato:form> , potrebbe sfruttare la vulnerabilità per eseguire codice arbitrario sui sistemi interessati.

Prodotti e versioni affette

OpenIdentityPlatform OpenAM, versioni precedenti alla 16.0.6

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente le release vulnerabili all’ultima versione stabile disponibile.